SAP技術情報 SAP

更新日 2023.07.21

「SAPに集約されたデータの活用方法」NO.2 SAPデータで不正対策！いち早く状況を把握し内部統制を強化

１．はじめに

近年はコンプライアンスを強化するとの観点から、内部不正の防止が重視されています。内部不正が発生してしまうと「内部統制の取れていない会社」とのレッテルを貼られてしまい、社会的な信用力が下がる原因となりかねません。

内部不正を防ぐためには内部統制が重要ですが、内部統制にはSAPのデータが役立ちます。今回はSAPデータで不正を防止するために、どのような情報を把握して、どのように内部統制に役立てればよいのか解説します。

２．SAPを利用した内部統制

SAPやSAPのデータを利用することで内部統制を実現できますが、内部統制には予防的対策と発見的対策の2種類があります。それぞれ、どのような不正対策であり、SAPデータを利用する際はどのような観点から統制できるのかを解説します。

２－１．予防的対策

内部統制のうち予防的対策とは、リスクが起きないように未然に防ぐ内部統制を指します。一般的に内部統制といえばこちらの予防的対策を指し、事前に問題が起きないような仕組みを構築する活動です。例えば、SAPに入力できるデータに制限をかけて、不正な取引を実現できないように統制します。

ただ、予防的対策はコストが掛かりやすい方法です。例えば、SAPをカスタマイズするためにはコストが必要となり、厳格な業務フローを構築するためにもコストがかかります。また、そのようなSAPを運用し続けることもコスト面では有意義とは言い切れません。

そのため、予防的対策が有効であることは大前提としつつも、実際にはSAPデータを利用した発見的対策が中心となります。SAPの構築時から内部統制を意識するならば予防的対策も取れますが、これはコストとの兼ね合いで難しいことが多いと考えましょう。

２－２．発見的対策

発見的対策は不正行為が起きたことを早々に発見し、また、後からデータなどをトレースできるようにする対策を行う活動です。不正行為を完全になくすことは不可能であるとの前提に立ち、いち早く不正を発見できるようにします。また、不正を発見できるという状況を周知することで、不正が起きないように抑止するものです。

例えば、SAPが管理するデータや変更に関するログの情報から不正を発見することは発見的対策です。SAPは大量のデータを管理しているうえ、データを変更したログを取得できるため、発見的対策に大きく役立てられます。

３．SAPデータから見えてくる不正の兆候

SAPデータを利用することで多くの情報が手に入りますが、それらの中には不正の兆候が含まれます。具体的にデータから見てくる不正の兆候としては以下があると考えましょう。

３－１．粉飾決算

SAPデータから見えてくる不正の代表格は粉飾決算、つまり財務諸表に関係する不正です。SAPは大量の会計データを保有しているため、これらを分析することによって不正が行われていないか判断できます。具体的にはSAPのデータを分析することで、以下のような不正発見が可能です。

売上の水増し
不自然な資産の計上
在庫と売掛額の不一致
入金タイミングの操作
循環取引

これらは一例であり、財務諸表から多くの不正を読み取れるようになります。SAPのように大量のデータがあれば健全性の証明も不正の発見も容易になるのです。

３－２．横領

内部不正の代表格には横領もあります。こちらについても粉飾決算と同様に大量のデータを監視することで、以下のような不正を発見できます。

資金横領（ラッピング）
在庫の転売
キックバック
経費の水増し
架空請求

どれも耳にする機会の多い不正であり、これらは可能な限り早く検知することが重要です。SAPデータはこれらの検知を可能とし、内部統制の強化に役立ちます。

３－３．単純誤り

SAPデータの中には単純な入力誤りが含まれているかもしれません。特に手入力のデータを多く扱う環境では、不正なデータと判別しにくいデータが登録される可能性があります。

このようなデータは単純な誤りであるため、不正なデータとして検知してはなりません。ただ、一般的には不正対策のために内部統制を強化すると、このようなデータも検出されてしまいます。不正の兆候として把握することになるため、不正ではないものとして適切な対策を取らなければなりません。

SAPのチェック機能を利用して、このような不正なデータとなり得るものを入力できないようにすることが望ましいでしょう。しかし、既に稼働しているSAPに対して、そのようなチェックを組み込むことは手間やコストがかかるのも事実です。内部統制強化の一環として取り組むことも視野には入りますが、基本的にはデータの検出条件を工夫して回避しましょう。

４．SAPデータからどのように不正を検知するか

SAPデータを活用することで、不正を検知できると説明しました。続いては実際にこのような取り組みを導入したい場合、どのような流れで進めればよいのか解説します。

４－１．想定される不正の検討

最初に想定される不正の内容を検討しましょう。SAPデータを用いて内部統制を強化する際は、不正が起きるシナリオの検討が重要です。そこで検討されたシナリオに沿って、どのようなデータが入力される可能性があるのか考えていきます。

代表的な不正の例としては、上記で紹介した粉飾決算や横領です。これらの不正行為について「自社で不正行為が起こるとしたらどのような流れか」を検討しておきます。どのような業務フローにも何かしらの欠陥が潜んでいる可能性があるため、不正が起こる可能性のある欠陥を洗い出すのです。

なお、ここで想定される不正内容が、この先でのデータ集約や分析の詳細さに繋がります。検討が甘いと内部統制の強化に繋がらないため、時間をかけてじっくりと洗い出すようにしましょう。

４－２．データの集約

どのような不正が発生するか検討できたならば、それを検知できるデータの集約が必要です。不正が起きていない場合のデータを集約して、不正が起きている場合の検知に役立てます。

基本的にはSAPのデータだけがあれば内部統制の強化には役立つでしょう。他のシステムと組み合わせる選択肢もありますが、会計面での内部統制はSAPで完結できるはずです。そのため、集約が必要とはなりますが、SAPだけと考えて差し支えありません。

なお、SAP BW/4HANAを導入しているならば、こちらのデータを活用する選択肢もあります。ERPのデータをそのまま利用するのではなく、BWに集約されているものを活用するのです。ここは導入している製品などを踏まえて選択しましょう。

４－３．データ分析

不正の検討やデータの収集が完了すれば、後は内部統制を強化するためにデータ分析を進めるだけです。大量のデータを分析することとなるため、自動化などを組み合わせて以下のとおり分析しなければなりません。

４－４．トランザクションデータ

取引に関わるデータである、トランザクションデータを分析して不正を発見するものです。FI・CO・SD・MMなどのモジュールからデータを取得することをおすすめします。具体的には入出金に関わる伝票や発注に関わる伝票、請求書などの情報を収集します。

これらの情報を収集すると「不正な取引の兆候」を発見可能です。例えば、同じ企業と頻繁に取引していたり、日頃とは異なるタイミングでお金が動いていたりします。このようなデータをSAPから発見できれば、それは内部統制に役立つデータなのです。

４－５．財務指標

FIモジュールからデータを取得して、財務会計に関する情報を分析します。一定期間ごとに情報を区切り、それぞれを比較することで不自然な会計情報が無いかを確認可能です。不自然さが確認されるならば、さらに期間を短く区切るなどして状況の把握に努めます。

例えば、売掛債権回転期間や棚卸資産回転期間は内部不正が発生した際に変化しやすい項目です。また、ROIC・ROA・ROEなどが急激に変化している状況も何かしらの問題を疑ったほうが良いでしょう。

４－６．不正に対する詳細な調査

何かしらSAPのデータから不正が検知されたならば、内部統制の流れとして対応が必要です。エビデンスに基づく詳細な調査を進めましょう。

上記でも触れたとおり、SAPデータには単純な誤りが含まれます。そのようなデータが誤って検知された可能性があるため、まずはそのような可能性を確認しましょう。単純な誤りは無くすようにすべきですが、人間が対応する以上、完全になくすことはできません。

もし、詳細な調査を進めた結果、悪意を持った不正行為と判断できれば処分などを検討する必要があります。SAPデータの登録や変更履歴を調査して、エビデンスを収集するようにしましょう。不正を働いた従業員に対して、それを指摘できるだけのエビデンス収集が求められます。データにもとづいた指摘をしなければ、はぐらかされてしまうかもしれません。

５．SAPデータで不正を防ぎ内部統制を高めるメリット

ここまでSAPデータでどのように内部不正を防げばよいのか解説してきました。ただ、皆さんの中には「SAPで内部統制できるとしても負担がかかってしまう」との印象を持った人がいるかもしれません。とついてはSAPデータを用いて内部不正と防止に取り組むと、どのようなメリットを感じられるのか解説します。

５－１．社内のデータソースを活かせる

SAPのデータを活用して内部統制に取り組むことで、社内のデータソースを最大限に活かせます。不正行為が発生していないか調査するために新しいデータソースを導入する必要はなく、SAPのデータだけで対応できてしまうのです。新しくデータを集める場合と比較すると、負担が少なくメリットが大きいことは言うまでもありません。

このような対応が可能となる理由は、そもそもSAPに大量のデータが集約されているからです。SAPはSAP S/4HANAを中心としてSAP BW S/4HANAなどの製品があり、これらを活用することで社内のデータを一元管理できます。SAPを導入していない環境では情報が点在しやすいですが、SAPシリーズを活用することでその問題が解決されます。

なお、企業によってSAPに集約されているデータ内容は異なります。詳細なデータ内容によって、どの程度のメリットを受けられるかは変化するものと考えておきましょう。

５－２．不正発生時の莫大なリソース消費を防げる

SAPデータを用いて内部統制を高めておくことで、不正発生時のリソース消費を防ぎます。万が一不具合が発生して、それが社会に知られてしまうと、問い合わせ対応などの業務は避けられません。莫大なリソースを消費することになると考えてよいでしょう。

その点、事前にSAPデータを活用して内部統制を強化しておけば、そのような問題が発生しにくくなります。仮に不正が発生したとしても、社内で早急に検知して適切な処分ができれば大きな問題にはならないでしょう。必ずしもすべての不正がメディアに取り上げられるわけではありません。

ここで重要となるのは、SAPデータで不正対策するコストと不正発生時のコストを天秤にかけることです。「SAPデータを活用した不正対策にはコストがかかる」などの理由で対策しないならば、不正発生時のコストを試算した方が良いでしょう。多くの場合、SAPデータで不正を検知する努力をした方が少ないコストで済むはずです。